제로 트러스트 원칙을 사용하여 개발
이 문서는 개발자가 애플리케이션 보안을 개선할 수 있도록 제로 트러스트 지침 원칙을 이해하는 데 도움이 됩니다. 조직 보안에서 중요한 역할을 합니다. 애플리케이션 및 개발자는 더 이상 네트워크 경계가 안전하다고 가정할 수 없습니다. 손상된 애플리케이션은 전체 조직에 영향을 줄 수 있습니다.
조직은 복잡한 최신 환경에 적응하고 모바일 인력을 수용하는 새로운 보안 모델을 배포하고 있습니다. 새 모델은 어디에 있든 사람, 디바이스, 애플리케이션 및 데이터를 보호하도록 설계되었습니다. 조직은 다음과 같은 지침 원칙을 따르는 애플리케이션을 디자인하고 구현하기 위한 보안 전략 및 접근 방식인 제로 트러스트 달성하기 위해 노력하고 있습니다.
- 명시적으로 확인
- 최소 권한 액세스 사용
- 위반 가정
제로 트러스트 모델은 회사 방화벽 뒤에 있는 모든 항목이 안전하다고 믿는 대신, 위반을 가정하고 각 요청을 제어되지 않은 네트워크에서 시작한 것으로 확인합니다. 요청이 시작되는 위치 또는 액세스하는 리소스에 관계없이 제로 트러스트 모델에서는 "절대 신뢰하지 마세요, 항상 확인"해야 합니다.
제로 트러스트 보안 기본 사항을 대체하는 것이 아니라는 것을 이해합니다. 모든 디바이스에서 시작된 작업을 사용하여 개발 주기 전반에 걸쳐 제로 트러스트 원칙을 통합하도록 애플리케이션을 디자인합니다.
제로 트러스트 관점으로 개발하는 이유는 무엇인가요?
- 사이버 보안 공격의 정교함 수준이 상승했습니다.
- "어디서나 작업" 인력은 보안 경계를 다시 정의했습니다. 데이터는 회사 네트워크 외부에서 액세스되고 파트너 및 공급업체와 같은 외부 협력자와 공유됩니다.
- 회사 애플리케이션과 데이터는 온-프레미스에서 하이브리드 및 클라우드 환경으로 이동하고 있습니다. 기존 네트워크 컨트롤은 더 이상 보안을 위해 의존할 수 없습니다. 컨트롤은 디바이스 및 앱 내에서 데이터가 있는 위치로 이동해야 합니다.
이 섹션의 개발 지침은 보안을 강화하고, 보안 인시던트 반경을 줄이며, Microsoft 기술을 사용하여 신속하게 복구하는 데 도움이 됩니다.
다음 단계
새 문서의 알림을 위해 제로 트러스트 원칙 RSS 피드를 사용하여 개발을 구독합니다.
개발자 지침 개요
- 제로 트러스트 규정 준수의 의미는 무엇인가요? 개발자의 관점에서 애플리케이션 보안에 대한 개요를 제공하여 제로 트러스트 원칙을 다룹니다.
- 애플리케이션 개발 수명 주기에서 제로 트러스트 ID 및 액세스 관리 개발 모범 사례를 사용하여 보안 애플리케이션을 만듭니다.
- 표준 기반 개발 방법론을 사용하면 지원되는 표준(OAuth 2.0, OpenID 커넥트, SAML, WS-Federation 및 SCIM)에 대한 개요와 MSAL 및 Microsoft ID 플랫폼 함께 사용할 경우의 이점을 제공합니다.
- 애플리케이션 등록, 권한 부여 및 액세스 에 대한 개발자 및 관리자 책임은 IT 전문가와 더 잘 공동 작업하는 데 도움이 됩니다.
권한 및 액세스
- 권한 및 동의 를 통해 ID를 보호하는 앱을 빌드하면 사용 권한 및 액세스 모범 사례에 대한 개요를 제공합니다.
- 애플리케이션을 Microsoft Entra ID 및 Microsoft ID 플랫폼 통합하면 개발자가 앱을 Microsoft Entra ID 및 Microsoft ID 플랫폼 안전하게 통합하여 IT 전문가가 엔터프라이즈에서 보호할 수 있는 앱을 빌드하고 통합할 수 있습니다.
- 애플리케이션을 등록하면 개발자가 애플리케이션 등록 프로세스 및 요구 사항을 소개합니다. 앱이 최소 권한 액세스를 사용하는 제로 트러스트 원칙을 충족하고 위반을 가정하도록 하는 데 도움이 됩니다.
- 단일 및 다중 테넌트 앱 에 대해 지원되는 ID 및 계정 유형은 앱이 Microsoft Entra 테넌트, Microsoft Entra 테넌트 또는 개인 Microsoft 계정을 가진 사용자만 허용하는지 여부를 선택하는 방법을 설명합니다.
- 제로 트러스트 사용자를 인증하면 개발자가 제로 트러스트 애플리케이션 개발에서 애플리케이션 사용자를 인증하기 위한 모범 사례를 학습할 수 있습니다. 최소 권한의 제로 트러스트 원칙을 사용하여 애플리케이션 보안을 강화하고 명시적으로 확인하는 방법을 설명합니다.
- 리소스에 액세스하기 위한 권한 부여를 획득하면 애플리케이션에 대한 리소스 액세스 권한을 획득할 때 제로 트러스트 가장 잘 확인하는 방법을 이해할 수 있습니다.
- 위임된 권한 전략을 개발하면 애플리케이션에서 사용 권한을 관리하는 최상의 방법을 구현하고 제로 트러스트 원칙을 사용하여 개발하는 데 도움이 됩니다.
- 애플리케이션 권한 전략을 개발하면 자격 증명 관리에 대한 애플리케이션 권한 접근 방식을 결정하는 데 도움이 됩니다.
- 관리 동의 가 필요한 사용 권한을 요청하면 애플리케이션 사용 권한에 관리 동의가 필요한 경우 사용 권한 및 동의 환경이 설명됩니다.
- 과도한 권한 및 앱을 줄이면 애플리케이션이 필요한 것보다 더 많은 권한을 요청하지 않아야 하는 이유와 액세스를 관리하고 보안을 개선하기 위해 권한을 제한하는 방법을 이해하는 데 도움이 됩니다.
- 사용자가 없을 때 애플리케이션 ID 자격 증명을 제공하면 Azure에서 서비스(비 사용자 애플리케이션)에 가장 적합한 제로 트러스트 클라이언트 자격 증명 사례가 Azure 리소스에 대한 관리 ID인 이유를 설명합니다.
- 제로 트러스트 대한 토큰을 관리하면 개발자가 Microsoft ID 플랫폼 받을 수 있는 ID 토큰, 액세스 토큰 및 보안 토큰을 사용하여 애플리케이션에 보안을 구축할 수 있습니다.
- 토큰 사용자 지정은 Microsoft Entra 토큰에서 받을 수 있는 정보와 토큰을 사용자 지정하는 방법을 설명합니다.
- 지속적인 액세스 평가를 사용하여 애플리케이션을 보호하면 개발자가 지속적인 액세스 평가를 통해 애플리케이션 보안을 향상시킬 수 있습니다. Microsoft Entra ID에서 액세스 토큰을 획득할 때 리소스에 액세스하기 위한 권한 부여를 받는 앱에서 제로 트러스트 지원을 확인하는 방법을 알아봅니다.
- 토큰 에서 그룹 클레임 및 앱 역할을 구성하면 앱 역할 정의를 사용하여 앱을 구성하고 보안 그룹을 할당하는 방법을 보여 줍니다.
- API Protection은 등록을 통해 API를 보호하고, 사용 권한 및 동의를 정의하고, 제로 트러스트 목표를 달성하기 위해 액세스를 적용하는 모범 사례를 설명합니다.
- Microsoft ID 동의 프레임워크 로 보호되는 API의 예는 최상의 사용자 환경을 위한 최소 권한 애플리케이션 권한 전략을 설계하는 데 도움이 됩니다.
- 다른 API에서 API를 호출하면 다른 API를 호출해야 하는 API가 하나 있는 경우 제로 트러스트 수 있습니다. 사용자를 대신하여 작업할 때 애플리케이션을 안전하게 개발하는 방법을 알아봅니다.
- 권한 부여 모범 사례는 애플리케이션에 대한 최상의 권한 부여, 권한 및 동의 모델을 구현하는 데 도움이 됩니다.
devSecOps 제로 트러스트
- 제로 트러스트 DevOps 환경 보안은 해커가 개발자 상자를 손상시키고, 악의적인 스크립트로 릴리스 파이프라인을 감염시키고, 테스트 환경을 통해 프로덕션 데이터에 액세스하는 것을 방지하기 위한 제로 트러스트 접근 방식을 사용하여 DevOps 환경을 보호하는 모범 사례를 설명합니다.
- DevOps 플랫폼 환경을 보호하면 DevOps 플랫폼 환경에서 제로 트러스트 원칙을 구현하는 데 도움이 되며 비밀 및 인증서 관리에 대한 모범 사례를 강조 표시합니다.
- 개발자 환경을 보호하면 최소 권한, 분기 보안 및 신뢰할 수 있는 도구, 확장 및 통합에 대한 모범 사례를 사용하여 개발 환경에서 제로 트러스트 원칙을 구현할 수 있습니다.
- 개발자 워크플로에 제로 트러스트 보안을 포함하면 빠르고 안전하게 혁신할 수 있습니다.
추가 제로 트러스트 설명서
설명서 집합 또는 조직의 역할에 따라 추가 제로 트러스트 콘텐츠를 사용합니다.
설명서 집합
요구 사항에 가장 적합한 제로 트러스트 설명서 집합을 보려면 이 표를 따르세요.
| 설명서 집합 | 도움이 됩니다... | Roles |
|---|---|---|
| 주요 비즈니스 솔루션 및 결과에 대한 단계 및 단계 지침에 대한 채택 프레임워크 | C 제품군에서 IT 구현에 제로 트러스트 보호를 적용합니다. | 보안 설계자, IT 팀 및 프로젝트 관리자 |
| 기술 영역에 대한 일반 배포 지침에 대한 개념 및 배포 목표 | 기술 영역에 맞게 제로 트러스트 보호를 적용합니다. | IT 팀 및 보안 직원 |
| 중소기업을 위한 제로 트러스트 | 중소기업 고객에게 제로 트러스트 원칙을 적용합니다. | 비즈니스용 Microsoft 365로 작업하는 고객 및 파트너 |
| 프로젝트 관리 지침 및 검사 간편한 승리를 위한 목록용 RaMP(신속한 현대화 계획) 제로 트러스트 | 제로 트러스트 보호의 주요 계층을 신속하게 구현합니다. | 보안 설계자 및 IT 구현자 |
| 단계별 및 자세한 디자인 및 배포 지침에 대한 Microsoft 365를 사용하여 배포 계획 제로 트러스트 | Microsoft 365 테넌트에 제로 트러스트 보호를 적용합니다. | IT 팀 및 보안 직원 |
| 단계별 세부 디자인 및 배포 지침에 대한 Microsoft Copilots에 대한 제로 트러스트 | Microsoft Copilots에 제로 트러스트 보호를 적용합니다. | IT 팀 및 보안 직원 |
| 단계별 세부 디자인 및 배포 지침에 대한 Azure 서비스 제로 트러스트 | Azure 워크로드 및 서비스에 제로 트러스트 보호를 적용합니다. | IT 팀 및 보안 직원 |
| 기술 영역 및 전문 분야에 대한 디자인 지침을 위해 제로 트러스트 파트너 통합 | 파트너 Microsoft 클라우드 솔루션에 제로 트러스트 보호를 적용합니다. | 파트너 개발자, IT 팀 및 보안 직원 |
사용자의 역할
조직에서 역할에 가장 적합한 설명서 집합을 보려면 이 표를 따르세요.
| 역할 | 설명서 집합 | 도움이 됩니다... |
|---|---|---|
| 보안 설계자 IT 프로젝트 관리자 IT 구현자 |
주요 비즈니스 솔루션 및 결과에 대한 단계 및 단계 지침에 대한 채택 프레임워크 | C 제품군에서 IT 구현에 제로 트러스트 보호를 적용합니다. |
| IT 또는 보안 팀의 구성원 | 기술 영역에 대한 일반 배포 지침에 대한 개념 및 배포 목표 | 기술 영역에 맞게 제로 트러스트 보호를 적용합니다. |
| 비즈니스용 Microsoft 365 고객 또는 파트너 | 중소기업을 위한 제로 트러스트 | 중소기업 고객에게 제로 트러스트 원칙을 적용합니다. |
| 보안 설계자 IT 구현자 |
프로젝트 관리 지침 및 검사 간편한 승리를 위한 목록용 RaMP(신속한 현대화 계획) 제로 트러스트 | 제로 트러스트 보호의 주요 계층을 신속하게 구현합니다. |
| Microsoft 365용 IT 또는 보안 팀의 구성원 | Microsoft 365에 대한 단계별 및 자세한 디자인 및 배포 지침에 대한 Microsoft 365를 사용하여 배포 계획 제로 트러스트 | Microsoft 365 테넌트에 제로 트러스트 보호를 적용합니다. |
| Microsoft Copilots용 IT 또는 보안 팀의 구성원 | 단계별 세부 디자인 및 배포 지침에 대한 Microsoft Copilots에 대한 제로 트러스트 | Microsoft Copilots에 제로 트러스트 보호를 적용합니다. |
| Azure 서비스에 대한 IT 또는 보안 팀의 구성원 | 단계별 세부 디자인 및 배포 지침에 대한 Azure 서비스 제로 트러스트 | Azure 워크로드 및 서비스에 제로 트러스트 보호를 적용합니다. |
| IT 또는 보안 팀의 파트너 개발자 또는 구성원 | 기술 영역 및 전문 분야에 대한 디자인 지침을 위해 제로 트러스트 파트너 통합 | 파트너 Microsoft 클라우드 솔루션에 제로 트러스트 보호를 적용합니다. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기